cysa q14

Questão 01 - Uma organização de saúde está desenvolvendo um sistema de registros de pacientes baseado na web. Durante a fase de testes, os analistas de segurança identificaram várias falhas de injeção que poderiam comprometer dados confidenciais do paciente. Quais controles a organização deve implementar para mitigar os riscos associados às falhas de injeção?*. Implementar consultas parametrizadas e validação de entrada. Empregar princípios de privilégios mínimos para acesso ao banco de dados. Usar cookies para armazenar dados da sessão do usuário. Desative os cabeçalhos de segurança no aplicativo.

Questão 02 - Um site de comércio eletrônico foi identificado como suscetível a ataques de script entre sites (XSS) refletidos em sua funcionalidade de pesquisa. A equipe de segurança tem a tarefa de recomendar controles para mitigar essa vulnerabilidade específica. Qual das seguintes recomendações é MAIS apropriada para resolver a vulnerabilidade?*. Implementar validação de entrada e codificação de saída. Aumente a duração do tempo limite da sessão. Criptografar dados confidenciais armazenados no banco de dados. Restringir o acesso ao código-fonte do aplicativo.

Questão 03 - Uma plataforma de comércio eletrônico identificou uma vulnerabilidade de estouro de pilha em um de seus aplicativos críticos. A organização encarregou um analista de segurança de sugerir controles eficazes para mitigar o risco associado a essa vulnerabilidade. Considerando a natureza da vulnerabilidade, qual controle o analista deve recomendar?*. Empregando a Randomização de Layout de Espaço de Endereço (ASLR). Aplicação da Política de Segurança de Conteúdo (CSP). Habilitando sinalizadores de cookies seguros. Implementando validação e higienização de entrada.

Questão 04 - Um auditor de segurança descobriu uma vulnerabilidade em um aplicativo da Web que permite que um invasor engane um usuário autenticado para executar ações não intencionais no aplicativo sem seu conhecimento. Qual das seguintes vulnerabilidades da Web descreve melhor esse cenário?*. Falsificação de solicitação entre sites (CSRF). Travessia de diretório. Falsificação de solicitação do lado do servidor (SSRF). Script entre sites (XSS).

Questão 05 - Um analista de segurança está examinando um incidente em que um invasor explorou um aplicativo Web para obter acesso não autorizado a arquivos e recursos no servidor. O invasor manipulou a entrada do usuário para incluir arquivos externos ou percorrer a estrutura de diretórios do servidor. Quais das seguintes vulnerabilidades da Web têm maior probabilidade de ser responsáveis por esse cenário? (Selecione as duas melhores opções.)*. Inclusão de arquivo local (LFI). Inclusão de arquivo remoto (RFI). Falsificação de solicitação do lado do servidor (SSRF). Falsificação de solicitação entre sites (CSRF).

Questão 06 - Uma empresa de desenvolvimento de software tem preocupações sobre os riscos potenciais associados ao design inseguro para um próximo projeto de desenvolvimento. Qual dos seguintes controles um especialista em segurança deve recomendar para mitigar esses riscos?*. Adoção de uma abordagem de ciclo de vida de desenvolvimento de software seguro (SSDLC). Realização de auditorias de segurança regulares. Aplicação da Política de Segurança de Conteúdo (CSP). Empregando a Randomização de Layout de Espaço de Endereço (ASLR).

Questão 07 - Uma empresa de serviços financeiros descobriu que seu aplicativo da web sofre de problemas de controle de acesso quebrados. Qual dos seguintes controles um especialista em segurança deve recomendar para mitigar os riscos associados a esses problemas?*. Empregando o controle de acesso baseado em função (RBAC). Adotar uma abordagem de ciclo de vida de desenvolvimento de segurança (SDLC). Impor requisitos de complexidade de senha. Implementando um WAF (Firewall de Aplicativo Web).

Questão 08 - Um pesquisador de segurança descobriu uma vulnerabilidade em um aplicativo da Web que permite que um invasor faça solicitações a recursos internos ou externos em nome do servidor da Web. Qual das seguintes vulnerabilidades da Web descreve melhor esse cenário?*. Falsificação de solicitação do lado do servidor (SSRF). Falsificação de solicitação entre sites (CSRF). Script entre sites (XSS). Injeção de SQL (Structured Query Language).

Questão 09 - Um consultor de segurança identificou uma vulnerabilidade em um aplicativo da Web que permite que um invasor execute comandos arbitrários no sistema de destino, potencialmente obtendo controle total sobre ele. Qual das seguintes vulnerabilidades da Web descreve melhor esse cenário?*. Falsificação de solicitação do lado do servidor (SSRF). Injeção de SQL (Structured Query Language). Travessia de diretório. Execução remota de código (RCE).

Questão 10 - Preparando-se para um novo projeto de teste sobre redução de ataques, um testador de penetração analisa a lista de verificação da empresa para mitigação de ataques de aplicativos. Qual controle de lista de verificação se concentra em garantir que os usuários tenham apenas o nível necessário de acesso necessário para sua função.*. Escalonamento de privilégios. Execução remota de código. Fim da vida útil. Falha de identificação.

Questão 11 - Uma empresa de comércio eletrônico sofreu recentemente uma violação de dados e uma auditoria de segurança revelou várias vulnerabilidades em seu aplicativo da web. A empresa deseja melhorar a segurança de seus aplicativos da Web seguindo as melhores práticas de codificação segura e aprimorando o gerenciamento de sessões. Qual das seguintes ações a empresa deve tomar para conseguir isso?*. Utilizar tempos curtos para limite de sessão. Utilizar credenciais codificadas. Utilizar HTTPS para todas as transmissões de dados. Desativar validação de entrada.

Questão 12 - Uma equipe de desenvolvimento de software em uma instituição financeira está trabalhando em uma nova plataforma de banco online. Eles querem seguir as práticas recomendadas de codificação segura e implementar consultas parametrizadas para evitar ataques de injeção de SQL (linguagem de consulta estruturada). Qual dos cenários a seguir demonstra melhor o uso correto de consultas parametrizadas para a empresa?*. Concatenação da entrada do usuário diretamente na consulta SQL. Validando a entrada do usuário usando JavaScript do lado do cliente. Substituindo aspas simples na entrada do usuário por aspas duplas. Usando uma consulta SQL com espaços reservados e vinculando a entrada do usuário aos espaços reservados.

Questão 13 - Uma empresa de desenvolvimento web está trabalhando em um site de comércio eletrônico e deseja garantir que o conteúdo gerado pelo usuário, como análises de produtos, não introduza vulnerabilidades de segurança. Portanto, eles seguem as melhores práticas de codificação segura e implementam a codificação de saída para mitigar riscos potenciais. Que resultado a empresa pode esperar da implementação correta da codificação de saída?*. Codificando caracteres especiais em conteúdo gerado pelo usuário. Validando automaticamente a entrada do usuário antes de armazená-la no banco de dados. Protegendo o aplicativo contra ataques de injeção de SQL. Garantir que a entrada do usuário seja armazenada em uma consulta parametrizada.

Questão 15 - Um desenvolvedor web em uma empresa iniciante está construindo um novo aplicativo web. O desenvolvedor deseja garantir que o aplicativo esteja protegido contra vários tipos de ataques. Qual das seguintes estruturas seria a mais apropriada para o desenvolvedor da Web usar?*. OWASP Guia de teste de segurança na Web. Organização Internacional de Normalização (ISO) 27001/27002. Manual de Metodologia de Testes de Segurança de Código Aberto (OSSTMM). Objetivos de Controle para Tecnologia da Informação e Relacionadas (COBIT).

Questão 14 - Uma empresa de desenvolvimento de software já incluiu estágios de planejamento, implementação, teste e manutenção em seu ciclo de vida de desenvolvimento de software (SDLC). Qual das etapas a seguir a empresa NÃO incluiu? (Selecione as duas melhores opções.)*. Testes. Design. Implantação. Revisão pós-aplicação.